Peneliti keamanan menemukan bahwa aktor ancaman siber menggunakan iklan Google untuk mempromosikan situs yang menawarkan aplikasi PDF Editor palsu, yang sebenarnya menyembunyikan malware pencuri data bernama TamperedChef.
Modus Operandi Serangan
- Malware ini menyamar sebagai AppSuite PDF Editor, di berbagai situs palsu yang didukung oleh minimal lima kampanye iklan Google berbeda—menyasar pengguna yang mencari editor PDF gratis.
- Setelah diunduh dan diinstal, program berperilaku normal selama sekitar 56 hari sebelum mengaktifkan fungsionalitas berbahaya, teknnik yang memungkinkan penyebaran luas sebelum terdeteksi. Fakta bahwa durasi ini mendekati masa tayang iklan Google (~60 hari) menunjukkan adanya strategi perencanaan matang oleh penyerang.
Dampak Setelah Aktivasi
Setelah disadap aktif, TamperedChef melakukan beberapa tindakan berikut:
- Mencuri kredensial browser dan cookie sesi pengguna, dengan cara menghentikan proses browser dan mengeksploitasi Windows DPAPI.
- Melakukan reconnaissance untuk mengecek perangkat lunak keamanan yang terinstal, sehingga bisa menghindar dari deteksi.
- Menyediakan backdoor untuk serangan lanjutan di masa depan.
Dampak Lebih Lanjut dan Tools Tambahan dalam Kampanye
Selain AppSuite PDF Editor, peneliti mendeteksi aplikasi lain seperti PDF OneStart dan PDF Editor yang juga digunakan dalam kampanye serupa. Banyak domain terkait bahkan menggunakan sertifikat digital yang diketahui dikeluarkan oleh berbagai perusahaan secara curang.
Beberapa korban juga dilaporkan terjebak dalam situasi di mana mereka tidak hanya menginstal malware, tetapi juga memasang software tambahan yang mengubah perangkat mereka menjadi proxy residensial—alat yang berguna bagi pelaku siber untuk menyembunyikan aktivitas mereka lebih jauh.
Langkah Perlindungan yang Disarankan
- Hindari mengunduh software dari iklan Google, terutama bila berasal dari situs yang mencurigakan.
- Pastikan sumber unduhan software adalah situs resmi atau verified.
- Gunakan perangkat lunak keamanan yang mutakhir dan scanning file sebelum instalasi.
- Monitor perilaku sistem seperti munculnya tugas terjadwal baru (scheduled tasks) atau modifikasi registry yang mencurigakan.